15 de agosto de 2024Ravie LakshmananRansomware / Ciberdelito Se ha observado que un grupo de ciberdelincuentes vinculado al ransomware RansomHub utiliza una nueva herramienta diseñada para eliminar el software de detección y respuesta de endpoints (EDR) en hosts comprometidos, uniéndose a otros programas similares como AuKill (también conocido como AvNeutralizer) y Terminator. La utilidad de eliminación de EDR ha sido bautizada como EDRKillShifter por la empresa de ciberseguridad Sophos, que descubrió la herramienta en relación con un ataque de ransomware fallido en mayo de 2024. «La herramienta EDRKillShifter es un ejecutable ‘cargador’, un mecanismo de entrega de un controlador legítimo que es vulnerable al abuso (también conocido como herramienta ‘traiga su propio controlador vulnerable’ o BYOVD)», dijo el investigador de seguridad Andreas Klopsch. «Dependiendo de los requisitos del actor de la amenaza, puede entregar una variedad de cargas útiles de controlador diferentes». RansomHub, una supuesta nueva marca del ransomware Knight, apareció en febrero de 2024, aprovechando fallos de seguridad conocidos para obtener acceso inicial y eliminar software de escritorio remoto legítimo como Atera y Splashtop para un acceso persistente. El mes pasado, Microsoft reveló que el notorio sindicato de delitos electrónicos conocido como Scattered Spider ha incorporado cepas de ransomware como RansomHub y Qilin a su arsenal. Ejecutado a través de la línea de comandos junto con una entrada de cadena de contraseña, el ejecutable descifra un recurso integrado llamado BIN y lo ejecuta en la memoria. El recurso BIN descomprime y ejecuta una carga útil final ofuscada basada en Go, que luego aprovecha diferentes controladores legítimos vulnerables para obtener privilegios elevados y desarmar el software EDR. «La propiedad de idioma del binario es ruso, lo que indica que el autor del malware compiló el ejecutable en una computadora con configuraciones de localización rusas», dijo Klopsch. «Todos los asesinos EDR descomprimidos incorporan un controlador vulnerable en la sección .data». Para mitigar la amenaza, se recomienda mantener los sistemas actualizados, habilitar la protección contra manipulaciones en el software EDR y practicar una higiene estricta para los roles de seguridad de Windows. «Este ataque solo es posible si el atacante aumenta los privilegios que controla o si puede obtener derechos de administrador», dijo Klopsch. «La separación entre los privilegios de usuario y administrador puede ayudar a evitar que los atacantes carguen controladores fácilmente». ¿Le resultó interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.